包过滤防火墙是一种通过软件检查数据包以实现系统安全防护的基本手段，以下叙述中，不正确的是 （

包过滤防火墙是一种通过软件检查数据包以实现系统安全防护的基本手段，以下叙述中，不正确的是 () 。

A.包过滤防火墙通常工作在网络层以上，因此可以实现对应用层数据的检查与过滤B.包过滤防火墙通常根据数据包源地址、目的地址、端口号和协议类型等标志设置访问控制列表实现对数据包的过滤C.数据包过滤用在内部主机和外部主机之间，过滤系统可以是一台路由器 或是一台主机D.当网络规模比较复杂时，由于要求逻辑的一致性、封堵端口的有效性和规则集的正确性等原因，会导致访问控制规则复杂，难以配置管理